gitlab.expertflow.com:9242/cim/agent-manager/build:4.6.1_f-CRM-39-67e70fb11ec2d244e79f60d3162b60d40bbda989 (alpine 3.19.2) ========================================================================================================================== Total: 8 (UNKNOWN: 0, LOW: 2, MEDIUM: 6, HIGH: 0, CRITICAL: 0) ┌────────────┬───────────────┬──────────┬───────────────────┬───────────────┬───────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ ├────────────┼───────────────┼──────────┼───────────────────┼───────────────┼───────────────────────────────────────────────────────────┤ │ libcrypto3 │ CVE-2024-4741 │ MEDIUM │ 3.1.5-r0 │ 3.1.6-r0 │ openssl: Use After Free with SSL_free_buffers │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4741 │ │ ├───────────────┤ │ │ ├───────────────────────────────────────────────────────────┤ │ │ CVE-2024-5535 │ │ │ │ openssl: SSL_select_next_proto buffer overread │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-5535 │ │ ├───────────────┤ │ ├───────────────┼───────────────────────────────────────────────────────────┤ │ │ CVE-2024-6119 │ │ │ 3.1.7-r0 │ openssl: Possible denial of service in X.509 name checks │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6119 │ │ ├───────────────┼──────────┤ ├───────────────┼───────────────────────────────────────────────────────────┤ │ │ CVE-2024-9143 │ LOW │ │ 3.1.7-r1 │ openssl: Low-level invalid GF(2^m) parameters lead to OOB │ │ │ │ │ │ │ memory access │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-9143 │ ├────────────┼───────────────┼──────────┤ ├───────────────┼───────────────────────────────────────────────────────────┤ │ libssl3 │ CVE-2024-4741 │ MEDIUM │ │ 3.1.6-r0 │ openssl: Use After Free with SSL_free_buffers │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4741 │ │ ├───────────────┤ │ │ ├───────────────────────────────────────────────────────────┤ │ │ CVE-2024-5535 │ │ │ │ openssl: SSL_select_next_proto buffer overread │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-5535 │ │ ├───────────────┤ │ ├───────────────┼───────────────────────────────────────────────────────────┤ │ │ CVE-2024-6119 │ │ │ 3.1.7-r0 │ openssl: Possible denial of service in X.509 name checks │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6119 │ │ ├───────────────┼──────────┤ ├───────────────┼───────────────────────────────────────────────────────────┤ │ │ CVE-2024-9143 │ LOW │ │ 3.1.7-r1 │ openssl: Low-level invalid GF(2^m) parameters lead to OOB │ │ │ │ │ │ │ memory access │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-9143 │ └────────────┴───────────────┴──────────┴───────────────────┴───────────────┴───────────────────────────────────────────────────────────┘ Java (jar) ========== Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0) ┌───────────────────────────────────────────────────────────┬───────────────┬──────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ ├───────────────────────────────────────────────────────────┼───────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────┤ │ com.squareup.okio:okio (sonar-scanner-cli-3.1.0.1141.jar) │ CVE-2023-3635 │ MEDIUM │ 1.13.0 │ 3.4.0, 1.17.6 │ okio: GzipSource class improper exception handling │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3635 │ └───────────────────────────────────────────────────────────┴───────────────┴──────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────┘ Node.js (node-pkg) ================== Total: 5 (UNKNOWN: 0, LOW: 1, MEDIUM: 3, HIGH: 1, CRITICAL: 0) ┌─────────────────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬───────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ ├─────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼───────────────────────────────────────────────────────────┤ │ cookie (package.json) │ CVE-2024-47764 │ LOW │ 0.4.2 │ 0.7.0 │ cookie: cookie accepts cookie name, path, and domain with │ │ │ │ │ │ │ out of bounds... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-47764 │ ├─────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼───────────────────────────────────────────────────────────┤ │ cross-spawn (package.json) │ CVE-2024-21538 │ HIGH │ 7.0.3 │ 7.0.5, 6.0.6 │ cross-spawn: regular expression denial of service │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-21538 │ ├─────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼───────────────────────────────────────────────────────────┤ │ micromatch (package.json) │ CVE-2024-4067 │ MEDIUM │ 4.0.7 │ 4.0.8 │ micromatch: vulnerable to Regular Expression Denial of │ │ │ │ │ │ │ Service │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4067 │ ├─────────────────────────────┼────────────────┤ ├───────────────────┼───────────────┼───────────────────────────────────────────────────────────┤ │ request (package.json) │ CVE-2023-28155 │ │ 2.88.2 │ │ The Request package through 2.88.1 for Node.js allows a │ │ │ │ │ │ │ bypass of SSRF... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28155 │ ├─────────────────────────────┼────────────────┤ ├───────────────────┼───────────────┼───────────────────────────────────────────────────────────┤ │ tough-cookie (package.json) │ CVE-2023-26136 │ │ 2.5.0 │ 4.1.3 │ tough-cookie: prototype pollution in cookie memstore │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-26136 │ └─────────────────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴───────────────────────────────────────────────────────────┘ /usr/src/app/tls.key (secrets) ============================== Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0) HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── /usr/src/app/tls.key:1 (added by 'COPY . . # buildkit') ──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── 1 [ -----BEGIN RSA PRIVATE KEY-----******************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************-----END RSA PRIVATE KEY----- 2 ──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── /usr/src/app/fcmSettings.json (secrets) ======================================= Total: 2 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 1) CRITICAL: Google (gcp-service-account) ════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════ Google (GCP) Service-account ──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── /usr/src/app/fcmSettings.json:2 (added by 'COPY . . # buildkit') ──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── 1 { 2 [ *************************, 3 "project_id": "cordovaapp-a330b", ──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── /usr/src/app/fcmSettings.json:5 (added by 'COPY . . # buildkit') ──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── 3 "project_id": "cordovaapp-a330b", 4 "private_key_id": "fe22ef0218ca34d02663ce265dfd81f1a9c406cc", 5 [ "private_key": "-----BEGIN PRIVATE KEY-----**********************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************-----END PRIVATE KEY-----\n", 6 "client_email": "firebase-adminsdk-kbchp@cordovaapp-a330b.iam.gserviceaccount.com", ────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────